Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Túneles de doble pila a través de una interfaz externa

Los túneles de doble pila (túneles IPv4 e IPv6 paralelos mediante una sola interfaz física a un par) se admiten para VPN de sitio a sitio basadas en rutas. Una interfaz física configurada con direcciones IPv4 e IPv6 se puede usar como una interfaz externa para puertas de enlace IPv4 e IPv6 en el mismo par o en diferentes pares al mismo tiempo.

Descripción de los modos de túnel VPN

En el modo de túnel VPN, IPsec encapsula el datagrama IP original (incluido el encabezado IP original) dentro de un segundo datagrama IP. El encabezado IP externo contiene la dirección IP de la puerta de enlace, mientras que el encabezado interno contiene las direcciones IP de origen y destino definitivas. Los encabezados IP externos e internos pueden tener un campo de protocolo de IPv4 o IPv6. Los firewalls serie SRX admiten cuatro modos de túnel para VPN de sitio a sitio basadas en ruta.

Los túneles IPv4 en IPv4 encapsulan paquetes IPv4 dentro de paquetes IPv4, como se muestra en Figura 1. Los campos de protocolo para los encabezados externo e interno son IPv4.

Figura 1: Túnel IPv4 en IPv4Túnel IPv4 en IPv4

Los túneles IPv6 en IPv6 encapsulan paquetes IPv6 dentro de paquetes IPv6, como se muestra en Figura 2. Los campos de protocolo para los encabezados externos e internos son IPv6.

Figura 2: Túnel IPv6 en IPv6Túnel IPv6 en IPv6

Los túneles IPv6 en IPv4 encapsulan paquetes IPv6 dentro de paquetes IPv4, como se muestra en Figura 3. El campo de protocolo para el encabezado externo es IPv4 y el campo de protocolo para el encabezado interno es IPv6.

Figura 3: Túnel IPv6 en IPv4Túnel IPv6 en IPv4

Los túneles IPv4 en IPv6 encapsulan paquetes IPv4 dentro de paquetes IPv6, como se muestra en Figura 4. El campo de protocolo para el encabezado externo es IPv6 y el campo de protocolo para el encabezado interno es IPv4.

Figura 4: Túnel IPv4 en IPv6Túnel IPv4 en IPv6

Un solo túnel VPN IPsec puede transportar tráfico IPv4 e IPv6. Por ejemplo, un túnel IPv4 puede funcionar en los modos de túnel IPv4-in-IPv4 e IPv6-in-IPv4 al mismo tiempo. Para permitir el tráfico IPv4 e IPv6 a través de un único túnel VPN IPsec, la interfaz st0 vinculada a ese túnel debe configurarse con ambos family inet y family inet6.

Una interfaz física configurada con direcciones IPv4 e IPv6 se puede usar como interfaz externa para túneles IPv4 e IPv6 paralelos a un par en una VPN de sitio a sitio basada en rutas. Esta característica se conoce como túneles de doble pila y requiere interfaces st0 independientes para cada túnel.

Para VPN basadas en políticas, IPv6 en IPv6 es el único modo de túnel compatible y solo se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM.

Descripción de túneles de doble pila a través de una interfaz externa

Los túneles de doble pila (túneles IPv4 e IPv6 paralelos mediante una sola interfaz física a un par) se admiten para VPN de sitio a sitio basadas en rutas. Una interfaz física configurada con direcciones IPv4 e IPv6 se puede usar como interfaz externa a puertas de enlace IPv4 e IPv6 en el mismo par o en diferentes pares al mismo tiempo. En Figura 5, las interfaces físicas reth0.0 y ge-0/0/0.1 admiten túneles IPv4 e IPv6 paralelos entre dos dispositivos.

Figura 5: Túneles de doble pilaTúneles de doble pila

En Figura 5, se deben configurar interfaces de túnel seguro separado (st0) para cada túnel VPN IPsec. No se admiten túneles IPv4 e IPv6 paralelos vinculados a la misma interfaz st0.

Un solo túnel VPN IPsec puede transportar tráfico IPv4 e IPv6. Por ejemplo, un túnel IPv4 puede funcionar en los modos de túnel IPv4-in-IPv4 e IPv6-in-IPv4 al mismo tiempo. Para permitir el tráfico IPv4 e IPv6 a través de un único túnel VPN IPsec, la interfaz st0 vinculada a ese túnel debe configurarse con ambos family inet y family inet6.

Si se configuran varias direcciones de la misma familia de direcciones en la misma interfaz externa a un par de VPN, se recomienda configurar local-address en el nivel de jerarquía [edit security ike gateway gateway-name].

Si local-address está configurado, se utiliza la dirección IPv4 o IPv6 especificada como dirección de puerta de enlace local. Si solo se configura una dirección IPv4 y una dirección IPv6 en una interfaz externa física, local-address no es necesaria la configuración.

El local-address valor debe ser una dirección IP configurada en una interfaz del firewall serie SRX. Se recomienda pertenecer local-address a la interfaz externa de la puerta de enlace de IKE. Si local-address no pertenece a la interfaz externa de la puerta de enlace de IKE, la interfaz debe estar en la misma zona que la interfaz externa de la puerta de enlace de IKE y se debe configurar una política de seguridad dentro de la zona para permitir el tráfico.

El local-address valor y la dirección de puerta de enlace IKE remota deben estar en la misma familia de direcciones, ya sea IPv4 o IPv6.

Si local-address no está configurado, la dirección de puerta de enlace local se basa en la dirección de puerta de enlace remota. Si la dirección de puerta de enlace remota es una dirección IPv4, la dirección de puerta de enlace local es la dirección IPv4 principal de la interfaz física externa. Si la dirección de puerta de enlace remota es una dirección IPv6, la dirección de puerta de enlace local es la dirección IPv6 principal de la interfaz física externa.

Ejemplo: Configuración de túneles de doble pila a través de una interfaz externa

En este ejemplo, se muestra cómo configurar túneles IPv4 e IPv6 paralelos a través de una única interfaz física externa a un par para VPN de sitio a sitio basadas en rutas.

Requisitos

Antes de comenzar, lea Descripción de los modos de túnel VPN.

La configuración que se muestra en este ejemplo solo se admite con VPN de sitio a sitio basadas en rutas.

Descripción general

En este ejemplo, una interfaz Ethernet redundante en el dispositivo local admite túneles IPv4 e IPv6 paralelos a un dispositivo par:

  • El túnel IPv4 transporta tráfico IPv6; opera en modo de túnel IPv6-in-IPv4. La interfaz de túnel seguro st0.0 vinculada al túnel IPv4 está configurada solo con la familia inet6.

  • El túnel IPv6 transporta tráfico IPv4 e IPv6; opera en los modos de túnel IPv4-in-IPv6 e IPv6-in-IPv6. La interfaz de túnel seguro st0.1 vinculada al túnel IPv6 está configurada con la familia inet y la familia inet6.

Tabla 1 muestra las opciones de fase 1 utilizadas en este ejemplo. La configuración de la opción de fase 1 incluye dos configuraciones de puerta de enlace de IKE, una al par IPv6 y la otra al par IPv4.

Tabla 1: Opciones de fase 1 para la configuración del túnel de doble pila

Option

valor

Propuesta de ICR

ike_proposal

Método de autenticación

Claves previamente compartidas

Algoritmo de autenticación

MD5

Algoritmo de cifrado

CBC de 3DES

Vida

3600 segundos

Política de ICR

ike_policy

Modo

Agresivo

Propuesta de ICR

ike_proposal

Clave previamente compartida

Texto ASCII

Puerta de enlace IKE IPv6

ike_gw_v6

Política de ICR

ike_policy

Dirección de puerta de enlace

2000::2

Interfaz externa

reth1.0

Versión de ICR

IKEv2

Puerta de enlace IKE IPv4

ike_gw_v4

Política de ICR

ike_policy

Dirección de puerta de enlace

20.0.0.2

Interfaz externa

reth1.0

Tabla 2 muestra las opciones de fase 2 utilizadas en este ejemplo. La configuración de la opción de fase 2 incluye dos configuraciones de VPN, una para el túnel IPv6 y la otra para el túnel IPv4.

Tabla 2: Opciones de fase 2 para la configuración del túnel de doble pila

Option

valor

Propuesta de IPsec

ipsec_proposal

Protocolo

ESP

Algoritmo de autenticación

HMAC SHA-1 96

Algoritmo de cifrado

CBC de 3DES

Política IPsec

ipsec_policy

Propuesta

ipsec_proposal

IPv6 VPN

test_s2s_v6

Interfaz de enlace

st0.1

Puerta de enlace de ICR

ike_gw_v6

Política IPsec de IIKE

ipsec_policy

Establecer túneles

Inmediatamente

IPv4 VPN

test_s2s_v4

Interfaz de enlace

st0.0

Puerta de enlace de ICR

ike_gw_4

Política IPsec de IIKE

ipsec_policy

En la tabla de enrutamiento IPv6 se configuran las siguientes rutas estáticas:

  • Enruta el tráfico IPv6 a 3000::1/128 a st0.0.

  • Enruta el tráfico IPv6 a 3000::2/128 a través de st0.1.

Una ruta estática está configurada en la tabla de enrutamiento predeterminada (IPv4) para enrutar el tráfico IPv4 a 30.0.0.0/24 a st0.1.

El procesamiento basado en flujos del tráfico IPv6 debe habilitarse con la mode flow-based opción de configuración en el nivel jerárquico [edit security forwarding-options family inet6].

Topología

En Figura 6, el firewall de la serie SRX A admite túneles IPv4 e IPv6 para el dispositivo B. El tráfico IPv6 a 3000::1/128 se enruta a través del túnel IPv4, mientras que el tráfico IPv6 a 3000::2/128 y el tráfico IPv4 a 30.0.0.0/24 se enrutan a través del túnel IPv6.

Figura 6: Ejemplo de túnel de doble pilaEjemplo de túnel de doble pila

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.

Para configurar túneles de doble pila:

  1. Configure la interfaz externa.

  2. Configure las interfaces de túnel seguras.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure rutas estáticas.

  6. Habilite el reenvío basado en flujos IPv6.

Resultados

Desde el modo de configuración, ingrese los comandos , show security ike, show security ipsec, show routing-optionsy show security forwarding-options para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar el estado de fase 1 de ICR

Propósito

Verifique el estado de fase 1 de ICR.

Acción

Desde el modo operativo, ingrese el show security ike security-associations comando.

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no se enumeran las SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 1 deben coincidir en los dispositivos par.

Verificar el estado de fase 2 de IPsec

Propósito

Verifique el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec security-associations comando.

Significado

El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. Si no se enumeran las SA, hubo un problema con el establecimiento de fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 2 deben coincidir en los dispositivos par.

Verificar rutas

Propósito

Verificar rutas activas.

Acción

Desde el modo operativo, ingrese el show route comando.

Significado

El show route comando enumera las entradas activas en las tablas de enrutamiento.